En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.
Descripción general
Alguien creó un Pod que contiene comandos o argumentos que suelen asociarse con un shell inverso. Los atacantes usan shells inversos para expandir o mantener su acceso inicial a un clúster y ejecutar comandos arbitrarios. Para obtener más detalles, consulta el mensaje de registro de esta alerta.
Cómo responder
El siguiente plan de respuesta podría ser adecuado para este hallazgo, pero también podría afectar las operaciones. Evalúa con cuidado la información que recopilas en tu investigación para determinar la mejor manera de resolver los resultados.
Para responder a este hallazgo, haz lo siguiente:
- Confirma que el Pod tiene una razón legítima para especificar estos comandos y argumentos.
- Determina si hay otros indicios de actividad maliciosa del Pod o la principal en los registros de auditoría de Cloud Logging.
- Si la principal no es una cuenta de servicio (IAM o Kubernetes), comunícate con el propietario de la cuenta para confirmar si el propietario legítimo realizó la acción.
- Si la principal es una cuenta de servicio (IAM o Kubernetes), identifica la legitimidad de lo que provocó que la cuenta de servicio realice esta acción.
- Si el Pod no es legítimo, quítalo junto con las vinculaciones de RBAC y las cuentas de servicio asociadas que usó la carga de trabajo y que permitieron su creación.
¿Qué sigue?
- Obtén más información para trabajar con los hallazgos de amenazas en Security Command Center.
- Consulta el Índice de resultados de amenazas.
- Obtén información para revisar un hallazgo a través de la consola de Google Cloud .
- Obtén más información sobre los servicios que generan hallazgos de amenazas.